De HR professional en privacy – Deel IV: de functionaris voor gegevensbescherming

 in Arbeidsrecht

Met de invoering van de AVG kunt u verplicht zijn een functionaris voor gegevensbescherming – ook vaak Data Protection Officer (DPO) genoemd – aan te stellen. Indien u hiertoe verplicht bent, is het noodzakelijk dat u tijdig ruimte maakt voor deze functie en uw onderneming zo inricht dat deze functionaris zijn werkzaamheden overeenkomstig de AVG kan verrichten.

Voor wie is een functionaris voor gegevensbescherming verplicht?

De verplichting om een functionaris voor gegevensbescherming aan te stellen geldt voor overheidsinstanties en publieke organisaties (ook zorg- en onderwijsinstellingen) en voor organisaties die regelmatig, systematisch en op grote schaal observeren (het volgen van individuen, profiling, cameratoezicht) of bijzondere persoonsgegevens verwerken (bijvoorbeeld gegevens over gezondheid, ras, strafrechtelijk verleden, politieke opvattingen). Er dient intern onderzoek plaats te vinden om de noodzaak tot het aanstellen van een functionaris voor gegevensbescherming vast te kunnen stellen. Deze onderzoeken moeten worden gedocumenteerd. Gelet op mogelijke wijzigingen binnen de organisatie, is dit een dynamisch proces. U kunt ook vrijwillig een functionaris voor gegevensbescherming aanstellen.

Niet elke onderneming hoeft een eigen functionaris aan te stellen. Het is mogelijk om als concern of groep van ondernemingen (bijvoorbeeld via een branchevereniging) een functionaris te ‘delen’. De voorwaarde die hierbij geldt, is dat de functionaris goed bereikbaar is.

Taken en positie

De functionaris voor gegevensbescherming heeft een groot aantal wettelijke taken. Niet alleen moet de functionaris toezien op de toepassing en naleving van de AVG en het beleid dat wordt gevoerd (waaronder bewustmaking en opleiding), ook moet de functionaris informeren en adviseren over de verplichtingen die voortvloeien uit de AVG. Daarnaast werkt de functionaris samen met en treedt op als contactpunt voor de toezichthoudende autoriteit. De functionaris is niet zelf aansprakelijk als de verordening wordt overtreden.

De positie van de functionaris is veiliggesteld in de AVG. Bij álle aangelegenheden die verband houden met de bescherming van persoonsgegevens moet de functionaris naar behoren en tijdig worden betrokken en om advies worden gevraagd. Dit houdt in dat de functionaris toegang wordt verschaft tot persoonsgegevens en verwerkingsactiviteiten. Verder moeten de benodigde middelen voor het kunnen vervullen van de taken en het in stand houden van de deskundigheid aan de functionaris ter beschikking worden gesteld. Indien van het advies van de functionaris wordt afgeweken, dient dit te worden gedocumenteerd.

Omdat de functionaris zijn werk onafhankelijk moet kunnen verrichten, mogen geen instructies worden gegeven met betrekking tot de uitvoering van de taken. Ook mag de functionaris niet worden ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris geniet dezelfde bescherming als leden van de ondernemingsraad en is gehouden tot geheimhouding of vertrouwelijkheid. Als de functionaris ook nog andere werkzaamheden verricht, mogen deze niet tot een belangenconflict leiden.

Conclusie

De functionaris voor gegevensbescherming is een expert en vervult een belangrijke positie binnen de onderneming. De functionaris dient te beschikken over specialistische deskundigheid met betrekking tot de privacywetgeving en de onderneming (waaronder deskundigheid met betrekking tot informatiesystemen, verwerkingsprocessen en te nemen beveiligingsmaatregelen).

Tegelijkertijd dient de onderneming klaar te zijn voor deze functionaris. Is voor management en personeel duidelijk wat de taken en bevoegdheden van de functionaris zijn, wordt de functionaris in voldoende mate gefaciliteerd en wordt de functionaris in staat gesteld om zijn werkzaamheden onafhankelijk uit te oefenen? Ook omdat het vinden van een geschikte kandidaat niet eenvoudig is en het klaarmaken van de onderneming tijd kost, is het noodzakelijk om tijdig op zoek te gaan naar een functionaris voor gegevensbescherming zodat uw organisatie op tijd voldoet aan de AVG.

Deel V de ondernemingsraad volgt over twee weken

Recente berichten
  • 8 juni 2022

    Vakantiedagen tijdens ziekte, een hoofdpijndossier

    Marion Hagenaars
    “Op vakantie naar Ibiza als je ziek bent, zonder dat deze dagen worden afgeboekt, is dat niet gek?”, werd mij de week gevraagd. Met de zomervakantie in zicht een actueel vraagstuk.  Vakantiedagen, zo eenvoudig is het niet Vakantiedagen, het lijkt zo eenvoudig: je bouwt ze eerst op en daarna neem je ze op. Maar de
    Lees verder
  • 25 mei 2022

    Besmette persoonsgegevens – De Ziggo soap

    Sil Kingma
    Klanten van Ziggo ontvingen afgelopen week een email met de aankondiging dat zij de prijs van haar abonnement met 3,50 Euro gaat verlagen. Sympathiek zou je denken. Er bleek echter een addertje onder het gras te zitten.  In diezelfde email kondigde Ziggo aan haar algemene voorwaarden per 1 juli as eenzijdig aan te passen. Bij
    Lees verder
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder

Plaats een reactie

Top